ASMの導入ステップと他領域との連携について

ASMの導入ステップと他領域との連携について

執筆：CISO事業部　中山 旬
監修：CISO事業部　吉田 卓史

本記事ではセキュリティ対策手法の1つであるASMの導入ステップおよび他領域との連携について紹介します。ASMの導入ステップは主に「導入目的の策定」「調査対象の選定」「運用計画の策定」「ツール選定」から成ります。
また、ASMは脆弱性管理やSOARツール、Attack Path Managementと併用することでリスク対応の自動化や監視範囲の拡張、深度の増加が見込めます。

ASMの導入ステップ

本記事は「ASM(Attack Surface Management)とは何か？効果や留意点について解説│インサイト｜DX戦略・セキュリティコンサルのアイディルートコンサルティング株式会社」の続編記事となります。まだご覧になったことがない方はぜひ前回記事をお読みいただければ幸いです。
さて、前回はASMのプロセスについて解説しました。プロセスをご理解いただいた上で、今回は実際にASMを自組織に導入する際のステップ例をご紹介します。

1. 導入目的の策定

最初のステップであり最も重要なステップです。自組織にASMを導入するにあたり何を実現したいのかを洗い出すことで、ASMツールの選定や運用設計で考えるべき点が明確になります。以下は経済産業省が提供するASM導入ガイダンスより引用した導入目的例です。[1]

• IT資産管理を強化するため、未把握のIT資産を発⾒する。
• グループ企業や海外拠点のセキュリティレベルの評価を⾏い、セキュリティガバナンス強化に活⽤する。
• 緊急性が⾼い脆弱性情報が公開された際に、⾃社のIT資産に該当するかを簡易的に調査する。
• 脆弱性管理を導⼊する際の初期段階として、サイバー攻撃を受けやすいIT資産を対象とした管理を実施する。
• 外部の組織から⾃社のセキュリティレベル提⽰を求められた際に提⽰する材料の⼀つとする。

これらを参考に目的を策定します。

2. 調査対象の選定

目的を決めた後はASMの調査となる対象範囲を明確にします。このステップではどの程度の規模で調査を行うかを把握します。自組織に加えてグループ会社やサプライチェーン上の他組織を含むのかなどを確認します。

3. 運用計画の策定

ここでは事前に決定した目的を実現するための運用計画を策定します。担当者やフローを策定することで継続的にIT資産を可視化し、適切に管理することができます。また必要コストの把握にも役立ちます。運用にあたり具体的には以下のような項目について検討が必要です。

• ASMを導入後だれが管理を行うのか
• 既存の運用ツールとの連携が必要か
• 調査をどの頻度で実施するのか
• 未知のIT資産を発見した場合どのように管理するのか
• IT資産へのリスク評価は誰がどのように行うのか
• 脆弱性への対応は誰がどのように行うのか

4. ツール選定

ここまでのステップで決定してきた内容を踏まえてASMツールを選定します。ASMツールはドメイン名から未知のIT資産を発見する機能に加えて、以下のような機能を持つものがあります。

• IT資産情報などをグラフィカルに表示するダッシュボード機能
• 発見した未知のIT資産に関するレポート機能
• APIなどの外部連携機能　など

「導入目的を満たせるのか」「運用計画に沿うツールか」等の観点から必要な機能を選定し、要件を満たすツールを絞り込みます。

以上が一般的なASMの導入ステップです。導入ステップ後はASMツールを効果的に利用するための担当者教育や対象ドメインの選定等が必要となってくることもぜひ念頭に置いていてください。

他領域と組み合わせたASMの活用

ここまではASMを単体で活用した場合やその導入について解説してきました。しかしASMは他のセキュリティ技術との組み合わせにより真価を発揮します。ここからはASMとの組み合わせで効果的なセキュリティ技術をご紹介します。

脆弱性管理

脆弱性管理ツールは自組織の資産に内包する脆弱性を検知・管理し、対応要否を決定するために用います。通常脆弱性の有無を診断する場合はツールによるスキャンや診断員による調査を通じて内包する脆弱性を検知します。この時重要なことは脆弱性の診断は既存の資産に対して実施するということです。そのため、シャドーITなどに対しては検査が実施できないという問題があります。この問題はASMと組み合わせることによりを軽減することができます。ASMを用いたASMツールでは、新しく検知したIT資産へのスキャンを自動的に実行することができるものがあります。

既存の資産とあわせて短周期的なスキャンを実行することで脅威への迅速な対応を手助けしてくれます。ASMの導入目的と併せてツールの選定時に機能の有無をぜひ確認してみてください。ただし、ASMツールを用いた脆弱性診断は「浅く・広く」が基本です。そのため過検知や検出漏れも存在します。また、非公開のIT資産に対しての検査は実施できません。重要なIT資産についてはぜひ半年～1年ごとに「深く・狭い」脆弱性診断を実施してください。

SOARツールとの連携

ASMは攻撃面を発見し、攻撃面からの情報を収集します。しかしリスク対応については別途検討する必要があります。発見されたリスクに対して何時でも即座に対応することは現実的ではありません。そこでSecurity Orchestration, Automation and Response(以後、SOARという)ツールを用いることで初期対応の自動化を図ります。SOARはセキュリティ運用の自動化及び効率化を目的とした技術・ソリューションです。プレイブックと呼ばれる対応シナリオを事前に定義することで、想定されたリスクが発生した際の対応を自動化します。

自動化できる例として、ASMプロセスの一部であるリスク評価やファイアウォールの設定変更などのリスク対応が挙げられます。ASMツールを導入する場合はぜひ自動化の可能性を一度検討ください。

APMとのすみわけ

昨今登場した新しい概念として、Attack Path Management（以後、APMという）があります。APMは攻撃経路管理と呼ばれ、攻撃者が侵入した場合に攻撃の経路を分析し、重要資産への到達を防ぐ目的を持ちます。具体的には仮想的に環境を構築し攻撃のシミュレーションを行うことで攻撃経路を可視化し、対応の優先順位付けを行うことができます。ASMとAPMは言葉としては似た2つですが、その監視対象には一部差があります。前述のように、ASMはインターネットからアクセス可能なIT資産を発見し、リスク管理を行うことが目的です。一方でAPMではインターネットからのアクセス可否に関係なく組織管理下にあるIT資産を管理し、攻撃者の侵入に対して対応することが目的です。ASMは未知の資産を発見することができるメリットがありますが、発見したIT資産の管理・監視には不向きです。一方でAPMは組織内のIT資産の管理・監視に優れている一方で未知のIT資産を管理することができません。ASMプロセスの中で発見したIT資産をAPMで管理・監視することで、相互に補完しより広範囲をカバーすることが可能です。

このようにASMは単体で用いるのではなく組み合わせによってより効果を発揮することがご理解いただけたかと思います。ただし最初からすべてを導入する必要はありません。自組織に必要なものはどれかを見極め、取捨選択しながら順次導入いただくことをぜひご検討ください。

まとめ

今回はASMの導入ステップ及び他領域との連携について紹介いたしました。導入にあたってのステップはいくつかあるものの、導入の目的は何なのか、何を実現したいのかが一番大切です。ぜひ目的を意識したうえで各ステップを実施いただければと思います。各領域との連携についてもいくつかご紹介させていただきました。ASMは導入して終わりではなく継続的に実施するプロセスです。自組織に合う運用方法は何か、他領域との連携により補完できる部分はないかをぜひ一度ご検討ください。本記事がASM導入の一助となれば幸いです。弊社では導入プロセスやASMツールの選定、導入まで一気通貫でサポートを行っております。ASM導入をご検討の際はぜひ一度お問い合わせください。

【プロフィール】

中山 旬(ナカヤマ シュン)

2024年にアイディルートコンサルティング株式会社（IDR）へ入社。
前職でのセキュリティ教育ソリューション開発経験を活かすべく、CISOサービス事業部に参画。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

参考文献

[1] https://www.meti.go.jp/press/2023/05/20230529001/20230529001-a.pdf
[2] Introduction | ASM導入検討を進めるためのガイダンス（基礎編）
[3] Attack Path Management | XM Cyber